DNS im lokalen Netzwerk

Namensauflösung im lokalen Netzwerk mittels DNS

Wer seinen eigenen Server betreibt, möchte diesen gelegentlich von extern wie auch vom internen Netz aus erreichen. Üblicherweise geschieht dies über den FQDN, sei es einer der eigenen Domain oder die eines DDNS Anbieters.

Der Zugriff von einem externen Netzwerk auf einen Server in einem genateten Privaten Netzwerk hängt einerseits von einer korrekten Portweiterleitung und von einer funktionierenden Namensauflösung im Internet ab. Dieser Blog Beitrag geht auf diesen Fall aber nicht näher ein. Viel mehr soll er eine Hilfestellung und einen Lösungsansatz für all jene geben, bei denen der Zugriff von extern funktioniert, vom LAN aus, in dem sich der Server befindet, aber nicht.

Goggle liefert dazu auch schnell mal die Ursache des Problems:

Kann man vom LAN aus über den FQDN den Server im eigenen Netzwerk nicht erreichen, so blockiert mit ziemlicher Sicherheit der Router diesen Zugriff. Goggle gibt im gleichen Atemzug dazu auch noch die Lösung, der Router muss NAT-Loopback auch bekannt als Port-Reflection können.

Viele Hersteller von Routern deaktivieren dieses Feature aus Sicherheitsgründen per Default oder implementieren es schon gar nicht mehr. Ausgenommen sind natürlich die Hersteller welche auf Gedöns ihrer Kunden wieder einen Rückzieher gemacht haben, man will ja schliesslich verkaufen. Namen nenne ich keine ;) Wer sich näher mit der Sicherheitsproblematik auseinandersetzen möchte, empfehle ich dieses Video.

OK kein NAT-Loopback, was nun?

Der Router kann nun kein NAT-Loopback, trotzdem möchte man auf den Komfort der Namensauflösung auch im LAN nicht verzichten. Gut man könnte sich jetzt einen Router eines bekannten Herstellers kaufen welcher dies noch unterstützt oder man macht sich Gedanken wie man die Namensauflösung selber in die Hand nehmen könnte. Damit mich in Zukunft zumindest virtuell keiner mehr verstört anschauen muss wenn ich das Wörtchen DNS in den Mund nehme, habe ich diesen Post geschrieben :)

DNS yourself

Dieser Artikel soll in keiner Weise Anspruch auf eine professionelle DNS Konfiguration haben, sondern Anwendern welche mit der oben genannten Problematik anstehen eine Hilfe leisten.

dnsmasq

Eventuell hat man Glück un betreibt einen Router welcher bereits den dnsmasq Service benutzt und sich dieser auch konfigurieren lässt. Beispiele dazu sind die Appliances von ipfire, dd-wrt oder open-wrt.

Auch der Swisscom Centro Grande Pirelli war noch mit der openRG Version mit freigeschaltetem Admin GUI in der Lage dnsmasq zu konfigurieren.

Ich gehe davon aus das der Router auch gleichzeitig als DNS Resolver im LAN agiert. Dank dnsmasq kann man in der sogenannten Host Datei gezielt "Manipulationen" vornehmen. So wie in unserem Fall nötig die lokale IP eines Servers bei einer Namensauflösung. Wir würden also zu jeder FQDN welche wir nutzen möchten eine entsprechende IP hinterlegen. 

Macht nun ein Client eine Namensabfrage zB. auf  www.DEINSERVER.org, würde der Router die IP Adresse nun nicht mehr bei seinem eingetragenem DNS Server (idR. die des Providers) nachfragen, sondern die IP direkt selber liefern also zB. 192.168.1.10

Hierzu ein Beispiel einer Konfiguration in ipfire:

Hosts Konfiguration in ipfire

Zugegeben, viele welche diese Seite wohl besuchen werden, haben gerade nicht so einen Router im Einsatz, darum Möglichkeit 2 (von vielen anderen)

DNS Server auf der Synology Diskstation

Vielen Usern wird sich das Problem stellen, wenn sie auf ihr NAS zugreifen möchten. Darum und weil ich gerade eine zur Hand habe, zeige ich hier noch die Möglichkeit mittels Synology Diskstation

Mittels Paketmanager lässt sich ganz komfortabel ein DNS Server installieren.

Die Installation selber ist also eigentlich kein Problem. Kümmern wir uns also um die richtige Konfiguration für das lokale Netzwerk.

 

Für die eigene Domain erstellt man im DNS Server eine eigene Master Zone.

In dieser Master Zone belässt man den Domänentyp auf Forward Zone.

Als Domainname gibt man die eigene Domain an zB. myroot.noip.com

Als Master DNS-Server trägt man die IP der Diskstation ein. Den Rest kann man wie im Screenshot gezeigt belassen. 

Nun muss man noch die Eintrage der Zone den eigenen Bedürfnissen entsprechend anpassen.

Für einen IPv4 Eintrag kann man in diesem Fall einen A-Record erstellen. Möchte man wie im Screenshot gezeigt mail.tuxone.ch auf die IP 192.168.3.11 auflösen, muss man dies so konfigurieren. Möchte man die ganze Domain also einfach tuxone.ch auf nur eine IP aufgelöst haben, müsste man das Feld bei Name einfach leer lassen. Die TTL kann man so hoch belassen, ich nehme nicht an das hier gross Fluktuationen im Gange sind.

So, nun hat man einen bereits funktionierenden DNS im lokalen Netzwerk. Damit dieser den Clients aber auch bekannt ist, muss man noch die DHCP Einträge, im einfachen Fall auf dem Router, ändern.

Bei den meisten Consumer Routern gibt der DHCP Server auf dem Router als Namensserver gleich sich selber an. Damit man in Zukunft auch den DNS Server der Diskstation benutzen kann, müssen wir dies auch mitteilen. In der Regel kann man bei den DHCP Einstellungen des Routers manuell mindestens 2 IP Adressen angeben. Beim Nameserver 1 ist die IP der Diskstation einzutragen, beim Nameserver 2 die IP des Routers oder die IP eines öffentlichen Providers.

Für Swisscom Kunden ist im folgenden Screenshot noch eine Beispielkonfiguration zu sehen.

Bei den Centro Routern ist die nötige Einstellung unter Einstellungen > Grundeinstellungen Netzwerk zu finden. Hier kann man die DNS-Server IP Adressen manuell zuteilen:

Nach dem Speichern dieser Einstellung und einem DHCP/release/renew der Clients sollte die Namensauflösung nun auch im LAN wie gewünscht funktionieren.

Centro Grande ADB/Pirelli CLI-Command Portmap

PAT / NAPT mit einem Centro Grande

Bekannter massen hat die Swisscom fortgeschrittene Funktionen aus dem WUI ihrer Centro Router gestrichen. Seit dem Update auf die Firmware-Versionen 06.02.XX der ADB/Pirelli Router, fehlt diesen auch das freischaltbare "Admin-GUI"

Unverständlich aber, dass sogar gewisse Grundfunktionen wie PAT/NAPT im GUI schlicht nicht möglich sind.

Was ist PAT /NAPT

Ich gehe davon aus das man diesen Beitrag mit gezielter Suche gefunden hat und daher weiss was PAT / NAPT ist. Falls nicht, hier eine Kurzbeschreibung:

PAT (Port Address Translation) auch bekannt als NAPT (Network Address Port Translation) ist eine erweiterte Form des NAT (Network Address Translation).

Gegenüber NAT wird zusätzlich zur IP Adresse auch noch die Port Nummer umgeschrieben.

Falls man zB. hinter einer öffentlichen IP mehrere Webserver betreibt die auf dem gleichen Port laufen (TCP 80) und man diesen nicht ändern kann, benötigt man NAPT. Da man nur eine öffentliche IP hat erfolgen Anfragen über unterschiedliche Ports. Der Router übersetzt diese Anfragen sowohl auf die richtige interne IP als auch auf den vorgegebenen Port.

Veranschaulicht in dieser Grafik:

CLI Command portmap

PAT lässt sich beim Pirelli/ADB Router mit aktueller Firmware nur via der CLI konfigurieren:

Der Einstieg dazu führt über Programme wie Telnet oder Putty und der IP des Routers (192.168.1.1)

Der Benutzername ist wie beim Zugang über das WUI admin. Das Passwort findet man im Kundencenter.

Falls man die Daten vergessen hat, kann man sich auch mit BN: superadmin, PW: 1234 einloggen.

Zum Glück bieten die Centro Router einen DNS rebinding Schutz ;) (ausgenommen Centro Business - Sicherheitslücke)

portmap bietet drei Grundfunktionen:

• portmap add: Fügt eine neue Portweiterleitung hinzu
• portmap del: Löscht eine Portweiterleitung
• portmap list: Listet alle konfigurierten Portweiterleitungen auf. Interessant was wohl manch einer hier wegen aktiviertem UPNP vorfinden wird...  :D

Der portmap add Befehl erwartet 5 Eingaben:

portmap add [name: Name der Portweiterleitung] [public port: Öffentlicher Port] [local_ip: IP des Servers]

[local_port: Port des Servers] [protocol: tcp, udp oder both]

Um eine NAPT Regel des öffentlichen Ports 8080 auf die interne IP 192.168.1.11/24 mit Port 80 zu machen, müsste der Befehl also folgendermassen lauten:

portmap add HTTP2 8080 192.168.1.11 80 tcp

Nach Abschluss der Konfiguration empfiehlt sich ein save

Die Überprüfung der Konfiguration erfolgt über portmap list

CLI mittels Putty

Zu Beachten: Portweiterleitungen welche man via portmap konfiguriert (und solche die UPNP macht) finden man nicht im Webinterface des Routers.

Den Befehl für die Centro Motorola Router und das ehemalige Admin Gui des Pirelli findet man hier.

Betriebsmodi Swisscom Centro Routers

Betriebsmodi der Swisscom Centro Serie

In diesem Artikel geht es darum die verschiedenen Betriebsmodi der Centro Router zu erklären.

Dazu gehören der Centro Piccolo sowie der Centro Grande. Fürs Verständnis wichtig ist, dass es von den Centro Routern 2 verschiedene Betriebssystem-Typen gibt. Den Centro Picolo sowie den Centro Grande kann man in einer Version von Motorola bekommen. Den Centro Grande aber auch in einer Version von Pirelli/ADB. Bei Fiber Anschlüssen bekommt man nur die Pirelli/ADB Version. Den Typ stellt man fest, indem man den Aufkleber auf dem Router beachtet oder im Routermenü unter Diagnose, Technische Werte, nachschaut.

Ich beschränke mich hier grundsätzlich auf die Funktionen welche via normalen Web GUI eingestellt werden können. Nur beim Bridge Mode ist dies nicht möglich.

Mittlerweile ist man auf einem Stand, bei dem sich diese bei beiden Betriebssystemen in etwa gleich verhalten. Da diese Router relativ viele verschiedene Firmwares erhalten haben und man sogar von einem Generationenwechsel innerhalb der Firmware sprechen kann, relativ schwierig. Demnach kann dieser Blog Post nur eine Momentaufnahme beschreiben.

Wer sich für die IPv6 Funktionalität der Router interessiert, dem habe ich hier einen etwas älteren Beitrag geschrieben. Es ist bald so weit, das diese Firmwares öffentlich ausgerollt werden.

Nutzer der älteren Netopia Router werden in diesem Blog Post bedient.

Welchen Modus brauche ich?

Damit man am Schluss ein zufriedenstellendes Resultat erreicht, muss man sich im Vorfeld zuerst mal klar werden was man eigentlich will oder braucht.

Grundsätzlich gibt es 4 Hauptmodi welche ich hier erkläre:

• Gateway Modus (Standard-Modus)
• NAT-Standard-Modus
• IP Weiterleitung (IP Passthrough)
• Bridge Mode

Mit diesen Modi ist das Spielfeld für den Anfänger wie auch den fortgeschrittenen User offen.

Gateway Modus

Dies ist der normale Modus mit dem der Router geliefert wird. Im Router steckt ein DSL Modem und ein Router. Das Gerät arbeitet als Gateway zwischen dem WAN (DSL) und dem LAN (Ethernet) und routet zwischen diesen beiden Netzen.

Diese Betriebsart ist für alle geeignet die keinen eigenen Router verwenden und simple Portweiterleitungen reichen.

Hinweis: Wer zb. WLAN nach dem neusten Stand brauchen will muss keinen zusätzlichen Router betreiben. In solch einem Fall ist ein Access Point bzw ein Router welcher sich in diesen Modus setzen lässt besser geeignet!

Im Gateway Modus arbeiten die Motorola Typen sehr stabil. Probleme werden vor allem bei den Typen von Pirelli/ADB berichtet. Im Gegensatz zum Grundtenor der in einigen Foren herrscht,  es sind nicht alle Centro Grande Pirelli/ADB User von Problemen betroffen! Nicht abzustreiten ist, dass es in gewissen Konstellationen Trigger gibt die zu Problemen führen. Ein guter Swisscom Supporter oder Techniker kann aber entsprechende Massnahmen treffen und einen Router Change machen. Falls nicht möglich, sind User mit Problemen, notfalls mit einer Zeitschaltuhr welche dem Router täglich mal den Strom nimmt gut bedient.

Im Gateway Modus ist es  kein Problem, Services zB. von einem NAS extern anzubieten. Alle was es dafür braucht, ist die sogenannte Portweiterleitung.

Diese findet man im Web Router Interface

Swisscom Gateway

• Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
• Im Webinterface das Menü Einstellungen aufrufen.
• Im Menüpunkt Portweiterleitungen lässt sich NAT einrichten.
• Gewünschten Service auswählen oder erstellen und auf Host lenken, speichern.
• Ist der gewünschte Dienst nicht verfügbar, kann man unter Dienste einen neuen erstellen.
• Nach Beendigung der Konfiguration schadet ein Neustart des Routers nie.

Host

• Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit die Portweiterleitungen richtig bestehen bleiben. Alternativ kann man auch unter dem Menüpunkt "Gerät hinzufügen" Hosts durch die MAC Adresse oder den Hostnamen erfassen. So bleiben Portweiterleitungen auch ohne fixe IP des Hosts bestehen!

Advanced: Auch bei den Centro Routern ist das sogenannte PAT via GUI nicht möglich. Abhilfe schafft der Admin Zugriff bei den Piellis.

Bei den Motorolas hilft die Shell weiter:

conf

set pinhole

NAT-Standard-Modus

Dieser Modus kann man brauchen, wenn man einen eigenen Router verwendet, eine DMZ bauen möchte oder sämtliche Anfragen an einen Host leiten will. NAT-Standard-Modus ist kein eigentlicher Modus. Das Gerät arbeitet immer noch als Gateway. Es ist also weiterhin möglich Clients zB. STB für Swisscom TV im LAN des Swisscom Routers zu belassen. Statt wie bei einer Portweiterleitung gezielt Ports auf Hosts zu lenken, wird beim NAT-Standard-Modus sämtlicher nicht aus dem LAN initiierter Verkehr auf einen Host geleitet. Klar das dieser Host durch eine Firewall oder eben einem fremden Router geschützt werden sollte. Keine gute Idee diesen Modus zB für ein NAS zu verwenden, nur weil es bei den Portweiterleitungen scheitert! ;) Ein Scan des Swisscom Netzes zeigt. Ein Rat den ein kleiner Teil leider so nicht kennt.

Da NAT-Standard-Modus sehr verwand mit der Portweiterleitung ist, gleicht sich das Vorgehen auch.

Swisscom Gateway

• Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
• Im Webinterface den Menüpunkt Einstellungen anklicken.
• Unter IP-Weiterleitung findet man den Button um NAT-Standard-Modus zu aktivieren.
• gewünschten Host auswählen und speichern.
• Nach Beendigung der Konfiguration Gerät neu starten.

Host

• Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit statisches NAT immer auf das richtig Ziel führt.
• Ist der Host ein fremder Router sollte oder muss man dessen LAN Bereich in ein anderes Subnet setzen, zB. 192.168.2.0/24 (verhindert routing issues)

IP Weiterleitung / IP Passthrough

Auch bei einer IP Weiterleitung arbeitet das Swisscom Gateway in seinem LAN immer noch als Router. Es ist also auch hier immer noch möglich STBen für Swisscom TV in diesem LAN zu betreiben. Im Gegensatz zum NAT-Standard-Modus wird bei der IP Weiterleitung die öffentliche IP auf das WAN Interface eines bestimmten Host's abgebildet. Dieser Modus ist also vor allem im Betrieb mit einem eigenen Router oder Firewall interessant und man mit dem Bridge Mode überfordert ist, oder man auf die Funktionalitäten der Centros nicht verzichten möchte.

Swisscom Gateway

• Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
• Im Webinterface den Menüpunkt Einstellungen anklicken.
• Unter IP-Weiterleitung findet man den Button um die IP-Weiterleitung zu aktivieren.
• Einen Host auswählen und aktivieren
• Das Gateway wird darauf hinweisen das ein Neustart nötig ist. Also neu starten! (Der Hinweis kommt bis dato nur bei Motorola. Bei Pirelli/ADB muss man selber daran denken)

Host

• Das WAN Interface des Host's (Router) muss die IP automatisch beziehen, also auf DHCP eingestellt sein. Ansonsten kann man das Gerät nicht als Ziel für die IP-Weiterleitung auswählen.
• Nachdem das Swisscom Gateway beim letzten Punkt den Neustart ausgeführt hat und die Internetverbindung wieder steht, muss auch der eigene Router neu gestartet werden oder einen DHCP refresh ausführen, damit die öffentliche IP bezogen werden kann.
• Auch hier ist es besser den LAN Bereich des eigenen Routers in ein anderes Subnet zu setzen, damit Routing Probleme gleich von Anfang an verhindert werden können.

Ob es mit der IP-Weiterleitung auch wie gewünscht klappt, hängt vor allem vom nachgeschalteten Router ab.

Nicht alle Geräte haben es gerne, dass sie eine öffentliche IP bekommen, der DNS sowie das Routing über eine Private IP geschehen. Falls Probleme auftauchen, ist die Lösung in diesem Bereich zu suchen.

Ich selber betreibe seit gut einem halben Jahr meine eigene Firewall hinter einem Swisscom Centro Piccolo mit der IP-Weiterleitung und verschiedenen Firmwares. Diese stehen mittlerweile kurz vor dem Rollout, so das auch andere davon profitieren können.

Bridge Mode

In diesem Modus schaltet das Gateway eine Bridge zwischen LAN und WAN, arbeitet also nicht mehr als Router.

Gut also für all die welche ihren eigenen Router verwenden möchten und das Swisscom Gateway nur noch als Modem betreiben. Simple Sache wenn man nur Internet braucht. Schwieriger wirds wenn man noch Swisscom TV oder VoIP Services von Swisscom benötigt. Da muss man wissen was man macht! :D

Das Gateway wird in Bridge Mode nicht einfach nur ein dummes Modem. Ein Client mit statischer IP im Range des Centro Gateways (192.168.1.0/24) kann immer noch Zugriff erlangen um zB. Leitungsinformation auszulesen!

Spätesten hier wird offensichtlich wo der Unterscheid zwischen dem Motorola und dem Pirelli/ADB Betriebssystem liegt.

Motorola:

Ich habe das Vorgehen dazu bereits in der Swisscom Support Community beschrieben.

Hier der Auszug davon:

Das flashen von Firmwares kann immer zu Fehlern und im schlimmsten Fall zu einem defekten Gerät führen.

Falls ihr nicht wisst was ihr da tut (ja klar wisst ihr es nicht..ich ja auch nicht ) solltet ihr das sein lassen.

Wenn ihr nicht mal wisst ob ihr einen Centro piccolo habt oder nicht, dann sowieso.

Falls man einen piccolo auf 9.0.7 hat kann man mit einer "Initiator" Firmware flashen.

Anmerkung: Bei neueren Firmwares der Centro Router (9.0.10xx) geschieht der Downgrade wieder direkt mit der 7.8.6 Firmware. Betrifft Meldung: Firmware image is invalid!

Ist diese geflasht (Router wird sich neu starten) kann man auf eine 7.8.6 Firmware zurückflashen.

Dieser Weg geht auch in die andere Richtung.

Selbstverständlich müsste man jetzt noch cwmp deaktivieren möchte man keine Überraschungen erhalten.
(set dslf-cpewan option off)

Den Bridge Mode aktiviert man nun via shell:

Pirelli/ADB

Motorola Bridge Mode war kompliziert? Nun dann freue dich auf den Bridge Mode des Pirelli/ADB :D

Vorbereitung:

• last known good Firmware 5.0.0.33 downloaden. Link
• Sämtliche Verbindungen ab Centro Grande bis auf den Konfigurations-PC trennen.
• DSL Anschlusskabel ebenfalls trennen!
• Dem Konfigurations-PC eine fixe IP geben. zb 192.168.1.2/24
• Reset mittels gedrückthalten des Resetsknopfs für ca. 20s tätigen.
• Upload der 5.0.0.33 Firmware welche man natürlich vorher schon heruntergeladen hat :) Passwort eines zurückgesetzten Pirellis ist 1234!
• Nach erfolgreichem Firmwaredowngrade das admin GUI freischalten.

Freischaltung admin Gui.

Mittels Telnet eine Verbindung zum Centro Grande aufbauen.

Benutzername: admin

Passwort: 1234

Folgenden Befehl ausführen: conf set wbm/admin_wbm a25B06c81

Nach Bestätigung des Routers druch return 0 einen reboot des Geräts mittels system reboot veranlassen.

Nachdem der Router neu gestartet ist hat man Zugriff auf das Admin Gui via 192.168.1.1/admin.html

Mit dem Browser 192.168.1.1/admin.html aufrufen und ins Menü der Netzwerkverbindungen gehen.

Unten hat es einen Button Schnelleinrichtung. Diesen drücken!

In der Schnelleinrichtung wählt man unter WAN DSL Verbindungsart: Bridged Ethernetverbindung über PTM.

Falls Wireless aktviert ist, dieses deaktivieren.

Danach OK drücken.

In der folgenden Abfrage ersetzt man die alte durch die neue Verbindung und kreuzt das editieren gleich an.
Es ist Zeit Beenden zu drücken.

Falls man aus dem Router geworfen wird einfach nochmals via Browser das admin gui öffnen. Nun geht man wieder in die Netzwerkverbindungen und drückt bei den Verbindungen auf die WAN-LAN-Bridge. Dies öffnet deren Konfiguration. Unter Einstellungen stellt man bei Internetprotokoll auf keine IP-Adresse.

Ohne auf OK oder Anwenden zu drücken wechselt man in den Reiter Bridging. Wie auf dem Bild unten gezeigt, entfernt man ausgenommen vom Punkt WAN ETHoP und dem gesteckten Port des Konfigurations-PC sämtliche Häklein  Beim Status kann man erkennen wo der PC gesteckt ist. (Die Beschriftung des Centro Grandes und die Bezeichnung der Ports im System sind Spiegelverkehrt.)

 Nun ist man so weit OK zu drücken. Nachdem man dies gemacht hat, kann man den Router mittels Schalter neu starten. Der eine Port ist nun so konfiguriert, dass ein Router daran via DHCP die öffentliche IP bezieht.

Thoughts

 Die aktuellen Centro Routers haben in mancher Hinsicht auf den ersten Blick vieles schwieriger gemacht.
2 Jahre nach der Einführung ist die Swisscom aber bereit weitere Funktion in die Router zu implementieren.
Dazu gehört nicht nur die IPv6 Kompatibilität sowie eine entsprechende Firewall.
Bald wird man via Kundencenter fähig sein erweiterte Funktionen im Heimnetzwerk zu nutzen.
Neben der Ansicht des Heimnetzwerkes gehört vor allem eine Funktion zur Zeitbegrenzung der Clients dazu.
Mehr kann und darf ich an dieser Stelle nicht sagen...
Die Funktionen und Möglichkeiten sind aber vielfältig  Möglich das man später noch mehr Optionen bekommt. Dieses Gebiet ist so neu und fancy, dass es noch gar keine Wikis dazu gibt. Man kann also gespannt sein was Swisscom ermöglichen wird. Sicher werden wir sie pushen :) Solche Protokolle sind allerdings noch proprietär  Swisscom muss bei den Centros ja schon 2 verschiedene Systeme unterstützen. Zu viel kann man also für den Anfang nicht erwarten. Einen Einblick in die Funktionen gibt dieses Cisco Whitepaper.

Ich hoffe ich konnte mit diesem Blog Post einigen helfen. Auch wenn Funktionen wie der Bridge Mode fast verloren gegangen sind, so soll hier auch gezeigt werden, dass dies mit einer funktionierenden IP-Weiterleitung gar nicht nötig ist.

Für Fragen und Infos stehe ich und andere User gerne in der Swisscom Support Community zur Verfügung.

Viel Spass dabei!

Betriebsmodi Swisscom Motorola Router (ex Netopia)

In diesem Artikel erkläre ich die verschiedenen Betriebsmodi welche die Swisscom Router mit SOC OS 7.8.x bieten. Auch heute noch sind Router mit dieser Software-Generation bei Swisscom weit verbreitet.

So hat die Swisscom bei ISDN Privatanschlüssen bis heute keinen alternativen Router in ihrem Sortiment.
Korrektur "Centro ISDN".

Dabei handelt es sich um die Netopia / Motorola Router der 7000er Serie. Die folgenden Erklärungen bzw. Anleitungen können nicht direkt für die Centro Router Generation angewandt werden! Für diese Router habe ich hier einen eigenen Blog Post.

Die Softwaregeneration lässt sich zB. mit einer Telnet Sitzung auf den Swisscom Router herausfinden.

Windows User verwenden den Telnet Client von Windows (ab Vista via Softwareverwaltung nachinstallieren) oder einen alternativen Client wie Putty.

Weil viele fremde Gateways kein kompatibles VDSL Modem drin haben oder die IGMP Unterstützung für Swisscom TV fehlt, lohnt es sich über die Möglichkeiten die mit dem Swisscom CPE bestehen, informiert zu sein. Die einfachste Art wäre es einfach eine Fritzbox! 7390 hinzustellen. Langweilig, es gibt noch zig Alternativen!

Welchen Modus brauche ich?

Damit man am Schluss ein zufriedenstellendes Resultat erreicht, muss man sich im Vorfeld zuerst mal klar werden was man eigentlich will oder braucht.

Grundsätzlich gibt es 4 Hauptmodi welche ich hier erkläre:

• Gateway Modus (Standard-Modus)
• Statisches NAT
• IP Weiterleitung Modus (IP Passthrough)
• Bridge Mode

Es gibt auch noch andere Arten der Anwendung, zB den LAN-WAN Turnaround (Router Mode) oder den Betrieb als Access Point. Keine Frage das so was geht. Aber sorry, tut euch was gutes und bringt in diesem Fall das Gerät zu einer Entsorgungsstelle :)

Gateway Modus

Dies ist der normale Modus mit dem der Router geliefert wird. Im Router steckt ein DSL Modem und ein Router. Das Gerät arbeitet als Gateway zwischen dem WAN (DSL) und dem LAN (Ethernet) und routet zwischen diesen beiden Netzen.

Diese Betriebsart ist für alle gut die keinen eigenen Router verwenden und simple Portweiterleitungen reichen.

Hinweis: Wer zb. WLAN nach dem neusten Stand brauchen will muss keinen zusätzlichen Router betreiben. In solch einem Fall ist ein Access Point bzw ein Router welcher sich in diesen Modus setzen lässt besser geeignet!

Im Gateway Modus arbeitet diese Router Generation eigentlich sehr stabil und zuverlässig. Auch User mit höheren Anforderungen wie schnellerem WLAN oder LAN können unter Gebrauch von Zusatzhardware (Access Point, Switch) zufrieden werden.

So ist es kein Problem, Services zB. von einem NAS extern anzubieten. Alle was es dafür braucht, ist die sogenannte Portweiterleitung.

Diese findet man im Web Router Interface

Swisscom Gateway

• Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
• Im Webinterface den Expertenmodus aktivieren.
• Unter Konfigurieren NAT/Spiele Konfiguration findet man die Oberfläche um Portweiterleitung einzurichten.
• Gewünschten Service auswählen oder erstellen und auf Host lenken, speichern.
• Nach Beendigung der Konfiguration Gerät neu starten.

Host

• Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit die Portweiterleitungen richtig bestehen bleiben.

Advanced: Leider ist in einer aktuellen Softwareversion das sogenannte PAT nicht mehr via GUI möglich.

Abhilfe schafft die shell:

conf

set pinhole

Statisches NAT

Dieser Modus kann man brauchen wenn man einen eigenen Router verwendet, eine DMZ bauen möchte oder sämtliche Anfragen an einen Host leiten will.

Statisches NAT ist kein eigentlicher Modus. Das Gerät arbeitet immer noch als Gateway. Es ist also weiterhin möglich Clients zB. STB für Swisscom TV im LAN des Swisscom Routers zu belassen. Statt wie bei einer Portweiterleitung gezielt Ports auf Hosts zu lenken, wird beim statischen NAT sämtlicher nicht aus dem LAN initiierter Verkehr auf einen Host geleitet. Klar das dieser Host durch eine Firewall oder eben einem fremden Router geschützt werden sollte. Keine gute Idee diesen Modus zB für ein NAS zu verwenden, nur weil es bei den Portweiterleitungen scheitert! ;) Ein Scan des Swisscom Netzes zeigt. Ein Rat den ein kleiner Teil leider so nicht kennt.

Da statisches NAT sehr verwand mit der Portweiterleitung ist, gleicht sich das Vorgehen auch.

Swisscom Gateway

• Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
• Im Webinterface den Expertenmodus aktivieren.
• Unter Konfigurieren NAT/Spiele Konfiguration findet man den Button um statisches NAT zu aktivieren.
• gewünschten Host auswählen und speichern.
• Nach Beendigung der Konfiguration Gerät neu starten.

Host

• Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit statisches NAT immer auf das richtig Ziel führt.
• Ist der Host ein fremder Router sollte oder muss man dessen LAN Bereich in ein anderes Subnet setzen, zB. 192.168.2.0/24 (verhindert routing issues)

IP Weiterleitung / IP Passthrough

Auch bei einer IP Weiterleitung arbeitet das Swisscom Gateway in seinem LAN immer noch als Router. Es ist also auch hier immer noch möglich STBen für Swisscom TV in diesem LAN zu betreiben. Im Gegensatz zum statischen NAT wird bei der IP Weiterleitung die öffentliche IP auf das WAN Interface eines bestimmten Host's abgebildet. Dieser Modus ist also vor allem im Betrieb mit einem eigenen Router oder Firewall interessant und man mit dem Bridge Mode überfordert ist.

Swisscom Gateway

• Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
• Im Webinterface den Expertenmodus aktivieren.
• Unter Konfigurieren IP-Weiterleitung findet man die entsprechende Oberfläche.
• Einen Host auswählen und aktivieren
• Das Gateway wird darauf hinweisen das ein Neustart nötig ist. Also neu starten!

Host

• Das WAN Interface des Host's (Router) muss die IP automatisch beziehen, also auf DHCP eingestellt sein. Ansonsten kann man das Gerät nicht als Ziel für die IP-Weiterleitung auswählen.
• Nachdem das Swisscom Gateway beim letzten Punkt den Neustart ausgeführt hat und die Internetverbindung wieder steht, muss auch der eigene Router neu gestartet werden oder einen DHCP refresh ausführen, damit die öffentliche IP bezogen werden kann.
• Auch hier ist es besser den LAN Bereich des eigenen Routers in ein anderes Subnet zu setzen damit routing Probleme gleich von Anfang an verhindert werden können.

Bridge Mode

In diesem Modus schaltet das Gateway eine Bridge zwischen LAN und WAN, arbeitet also nicht mehr als Router.

Gut also für all die welche ihren eigenen Router verwenden möchten und das Swisscom Gateway nur noch als Modem betreiben. Simple Sache wenn man nur Internet braucht. Schwieriger wirds wenn man noch Swisscom TV oder VoIP Services von Swisscom benötigt. Da muss man wissen was man macht! :D

Das Gateway wird in Bridge Mode nicht einfach nur ein dummes Modem. Ein Client mit statischer IP im Range des Motorola Gateways (192.168.1.0/24) kann immer noch Zugriff erlangen um zB. Leitungsinformation auszulesen!

Gateway

• Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
• Im Webinterface den Expertenmodus aktivieren.
• Unter Konfigurieren, Verbindungen die Übersicht öffnen.
• Bei Bridging von deaktiviert auf aktiviert stellen.
• Im folgenden Fenster UPnP noch deaktivieren (schont das LOG einer Firewall)
• Änderungen speichern
• Reboot akzeptieren
• Config Host entfernen und eigenen Router ans LAN hängen (DHCP, first come first serve)

eigener Router

• WAN Interface des eigenen Router muss auf DHCP stehen. (Swisscom verwendet bei Privatkunden VDSL Terminierungen DHCP mit Option 82.)
• Nach dem Neustart des Swisscom Gateways schadet auch hier ein Reboot nichts. Somit kann der IP Bezug sauber ablaufen.
• Das LAN Subnet muss hier nicht zwingend geändert werden, aber es empfiehlt sich auch hier ein anderes als das Default Subnet von (192.168.1.0/24) zu verwenden. Nur schon um VPN Probleme einzuschränken.

Advanced: Die Sys Bridge lässt sich auch via Shell aktivieren. Als Hinweis für die Centro Serie mit älterer Firmware: